Para monitorar o tráfego de rede, como análise do comportamento online do usuário, monitoramento de tráfego anormal e monitoramento de aplicativos de rede, é necessário coletar o tráfego de rede. Capturar o tráfego de rede dessa forma pode ser impreciso. Na verdade, é preciso copiar o tráfego de rede atual e enviá-lo para o dispositivo de monitoramento. Um divisor de rede, também conhecido como Network TAP, faz exatamente isso. Vejamos a definição de Network TAP:
I. Um Network Tap é um dispositivo de hardware que fornece uma maneira de acessar os dados que trafegam em uma rede de computadores. (da Wikipédia)
II. AConexão de redeUm divisor de rede, também conhecido como porta de acesso de teste, é um dispositivo de hardware que se conecta diretamente a um cabo de rede e envia um trecho da comunicação de rede para outros dispositivos. Os divisores de rede são comumente usados em sistemas de detecção de intrusão (IPS), detectores de rede e analisadores de desempenho. A replicação da comunicação para dispositivos de rede agora é normalmente feita por meio de um analisador de porta de comutação (span port), também conhecido como espelhamento de porta em comutação de rede.
III. Os taps de rede são usados para criar portas de acesso permanentes para monitoramento passivo. Um tap, ou porta de acesso de teste, pode ser configurado entre quaisquer dois dispositivos de rede, como switches, roteadores e firewalls. Ele pode funcionar como uma porta de acesso para dispositivos de monitoramento usados para coletar dados em linha, incluindo sistemas de detecção de intrusão, sistemas de prevenção de intrusão implantados em modo passivo, analisadores de protocolo e ferramentas de monitoramento remoto. (Fonte: NetOptics).
A partir das três definições acima, podemos basicamente extrair algumas características do Network TAP: hardware, inline, transparente
Aqui está uma visão geral dessas funcionalidades:
1. Trata-se de um hardware independente e, por isso, não impacta a carga dos dispositivos de rede existentes, o que representa uma grande vantagem em relação ao espelhamento de portas.
2. É um dispositivo em linha. Simplificando, ele precisa estar conectado à rede, o que é compreensível. No entanto, isso também apresenta a desvantagem de introduzir um ponto de falha e, por ser um dispositivo online, a rede atual precisa ser interrompida no momento da implantação, dependendo de onde for instalado.
3. Transparente refere-se ao ponteiro para a rede atual. Redes de acesso após o desvio (shunt) não têm qualquer efeito sobre a rede atual para todos os equipamentos, sendo completamente transparentes para eles. Claro, isso também inclui o tráfego de rede desviado para o equipamento de monitoramento; o dispositivo de monitoramento é transparente para a rede, como se você estivesse acessando uma nova tomada elétrica. Para os outros aparelhos existentes, nada acontece, inclusive quando você finalmente remove o aparelho e de repente se lembra do poema: "Agite a manga e não uma nuvem"...
Muitas pessoas estão familiarizadas com o espelhamento de portas. Sim, o espelhamento de portas também pode alcançar o mesmo efeito. Aqui está uma comparação entre taps/diversificadores de rede e espelhamento de portas:
1. Como a própria porta do switch filtra alguns pacotes com erros e pacotes de tamanho muito pequeno, o espelhamento de portas não garante a captura de todo o tráfego. No entanto, o shunter garante a integridade dos dados, pois eles são completamente "copiados" na camada física.
2. Em termos de desempenho em tempo real, em alguns switches de baixo custo, o espelhamento de portas pode introduzir atrasos ao copiar o tráfego para as portas espelhadas, e também ao copiar portas 10/100m para portas GIGA.
3. O espelhamento de portas exige que a largura de banda de uma porta espelhada seja maior ou igual à soma das larguras de banda de todas as portas espelhadas. No entanto, esse requisito pode não ser atendido por todos os switches.
4. O espelhamento de portas precisa ser configurado no switch. Assim que as áreas a serem monitoradas precisarem ser ajustadas, o switch precisará ser reconfigurado.
Data da publicação: 05/08/2022
